说明

当网关进入 fallback、stream 中断或者 backend unhealthy 这些故障路径时，我们该用什么基线来判断：系统虽然还活着，但时间消耗已经不正常了。

• 给后续故障场景压测提供对照基线

• 给监控和告警提供判断标准，避免把“还能返回 200”误判成“系统成本仍然健康”

• 给后续优化排序提供依据，知道下一步该优先优化 timeout、retry、fallback 还是 healthy path 本身

故障发生以后，即使客户端还能拿到 200，代价是不是已经偏离正常基线。

• primary timeout 之后 secondary 接住了请求

• upstream 500 之后 router 走了 fallback

• stream 在首包之前失败，但还能切到 secondary

• /readyz 仍然是 200，因为系统还有一个 healthy backend

系统还活着，所以性能代价应该不大。

一、问题定义

• healthy path

• fallback path

• interrupted stream path

• not-ready edge

• 有的代价体现在 latency 膨胀

• 有的代价体现在 stream 完整性变化

• 有的代价并不会马上把 /readyz 打成 503，但请求成本已经明显偏离健康状态

故障路径还能返回 200，但可能时间消耗已经远超正常基线。

二、故障路径分层图

• healthy path 对应文章 005 建立的正常基线

• fallback path 对应“可用性保住了，但请求代价变了”

• interrupted stream path 对应“不是慢一点的成功，而是协议已经开始后的终止”

• /readyz 反映的是 aggregate readiness，不是单请求成本

三、先把对照基线拿出来

non-stream baseline

• P95 = 34 ms

stream baseline

• TTFT P95 = 28 ms

• Latency P95 = 98 ms

• 网关已经进入真实 adapter 代码路径

• 已经包含 socket I/O、request construction、response parsing 等本地 HTTP adapter 成本

• 但还没有进入故障路径

四、这组对照基线到底有什么用

• 213.8 ms 单独看，不能确定是否不正常

• 1.017s 单独看，也只能感觉“有点慢”

• healthy non-stream 是 P95 34 ms

• 500 fallback 约是 213.8 ms

• timeout fallback 约是 1.017s

• 这些故障路径虽然还能返回 200，但时间成本已经不是正常路径的量级

• /readyz = 200 不能说明请求成本仍然健康

• 后续该优先优化的，不再是 healthy path 的几毫秒，而是 timeout、retry、fallback 和 unhealthy recovery 这些 failure-path 机制

五、timeout fallback：可用性保住了，但代价几乎吃满 timeout budget

场景配置

• primary synthetic upstream sleep 2.5s

• adapter timeout 1s

• secondary backend 保持 healthy

观察结果:

• 客户端仍然拿到 200

• 返回内容来自 secondary backend

• 端到端耗时大约 1.017s

• /readyz 仍然是 200

和基线对比

• P95 = 34 ms

• 1017 ms

timeout fallback 结果图

timeout fallback 的可用性，是用等待成本换回来的。

六、upstream 500 fallback：代价比 timeout 小，但仍然明显偏离正常路径

场景配置

• synthetic upstream 持续返回 500

• adapter 允许一次 retry

• retry 失败后 router fallback 到 secondary

观察结果

• 客户端仍然拿到 200

• traced request 总耗时约 213.8 ms

• upstream 记录到 两次 500

• /readyz 仍然是 200

和基线对比

• P95 = 34 ms

• 约 213.8 ms

500 fallback 结果图

500 fallback 比 timeout fallback 代价小，但它仍然不是正常路径。

• adapter retry

• router reroute

• secondary backend 补位

七、stream 首包前失败：完整输出还能保住，但时间成本已经不再接近正常流式基线

场景配置

• upstream 在 first chunk 之前失败

• router 仍然有时间 fallback 到 secondary

观察结果

• 客户端仍然收到完整 SSE 响应

• 最终仍然有 data: [DONE]

• request duration 约 209.7 ms

• metrics 中有 provider_request_failed

• metrics 中也有 provider_fallback_succeeded

和基线对比

• TTFT P95 = 28 ms

• Latency P95 = 98 ms

pre-first-chunk 结果图

首包前失败仍然可以 fallback，完整输出也还能保住，但它已经不是接近正常基线的 stream。

八、stream 首包后中断：这已经不是“慢一点的成功”，而是协议生效后的诚实终止

场景配置

• stream 已经开始输出

• 上游随后中断

观察结果

• 客户端先收到 partial chunk

• 之后连接结束

• 没有 data: [DONE]

• metrics 中有 provider_stream_interrupted

• 没有 provider_fallback_succeeded

post-first-chunk 结果图

首包后中断不再属于 fallback 成功，而属于协议已经生效后的诚实终止。

• 首包前失败

• 首包后中断

九、为什么 /readyz = 200 时间成本仍然可能已经高出基线

• 只要还有一个 healthy backend，/readyz 就可能继续返回 200

• primary 进入 cooldown，不等于 gateway 立刻 not ready

• 只有所有 backend 都 unhealthy 时，/readyz 才会变成 503

• aggregate readiness

• traffic admission signal

• single-request cost signal

• timeout fallback 已经把请求拉到 1s 级别

• 500 fallback 已经把请求拉到 200ms 级别

• stream 首包前恢复已经明显高于健康流式基线

系统现在的请求代价仍然接近正常。

十、结果总览

• 有的是 等待成本

• 有的是 retry + reroute 成本

• 有的是 完整 stream 被保住，但代价升高

• 有的是 协议已经开始，只能诚实终止

• 有的是 aggregate readiness 终于失效

十一、边界说明

• gateway path

• adapter path

• fallback path

• interruption path

• 本地 upstream 交互开销

• 高并发、长时间故障窗口下的尾延迟分布

• probe recovery 抖动期间的波动统计

• 真实 hosted provider 的 WAN jitter

• 公网环境下更复杂的 latency 分布

它已经说明 failure path 的代价可以被量化，但它还不能替代完整的故障压测报告。

十二、如何复现实验

十三、结论

网关的可用性，不能只看还能不能返回 200，还要看 failure path 的时间成本已经偏离正常基线多少。

• healthy non-stream adapter baseline 大约是 P95 34 ms

• upstream 500 fallback 的单请求代价约上升到 213.8 ms

• timeout fallback 的单请求代价约上升到 1.017s

• 而这几个场景下，/readyz 仍然可能是 200

• 不能只用 /readyz 判断系统是不是“基本正常”

• healthy benchmark 和 failure-path benchmark 必须分开看

• 后续该优先优化的，不再是 healthy path 的几毫秒，而是 timeout、retry、fallback、cooldown recovery 这些真正决定故障代价的机制

对 LLM Gateway 来说，“还能返回 200”只说明系统还活着，不说明这次请求的成本仍然正常。真正有意义的，是把 healthy cost 和 failure cost 分开测、分开看、分开优化。